DecoyMini 技术交流社区

 找回密码
 立即注册

QQ登录

只需一步,快速开始

搜索
查看: 6676|回复: 0

[更新] DecoyMini - Syslog 日志格式定义

[复制链接]

188

主题

35

回帖

30

荣誉

Rank: 9Rank: 9Rank: 9

UID
2
积分
354
精华
1
沃币
2 枚
注册时间
2021-6-24

论坛管理

发表于 2021-8-5 14:07:54 | 显示全部楼层 |阅读模式
DecoyMini - Syslog 日志格式定义

v1.0

适用版本:DecoyMini  V1.x

支持协议: syslog TCP/UDP

日志格式:JSON

一、安全事件

1.1 基础属性

SN名称属性 ID描述
1事件 IDeventId安全事件 ID
2规则 IDruleId关联分析规则 ID
3源 IPsrcIp攻击来源IP地址
4源 IP 区域srcIpLoc
攻击来源物理位置
格式: 国家代码|国家名称 区域名称 城市名称
5目的 IPdestIp攻击目的IP地址
6目的 IP 区域destIpLoc
攻击目的物理位置
格式: 国家代码|国家名称 区域名称 城市名称
7类型type事件类型
8级别level威胁级别(1-5)
1:很低
2:
3:
4:
5:很高
9攻击阶段stage
事件所处攻击阶段(1-5)
1:攻击尝试
2:单点突破
3:控制通道
4:横向移动
5:数据窃取
10确信度cfdc
事件确信度(0 - 100)
0:确信度最低
100:确信度最高
11事件源类型source事件来源
12事件名称name事件名称
13事件描述desc事件描述
14事件标签label事件标签
15事件时间time事件发生时间
16诱捕日志logData关联诱捕日志数据(JSON格式)

1.2 诱捕日志属性

SN名称属性 ID描述
1类型type诱捕日志类型
2诱捕器名称module诱捕器名称
3日志级别level日志级别(0-7)
0: 紧急
1: 警报
2: 严重
3: 错误
4: 警示
5: 提示
6: 信息
7: 调试
4用户名user操作用户名
5操作action操作类型
6操作结果result操作结果(0-1)
0: 成功
1: 失败
7描述desc日志描述
8序列 IDserialId序列ID
9源 IPsrcip攻击来源 IP 地址
10源 IP 区域srcipLoc攻击来源物理位置
格式: 国家代码|国家名称 区域名称 城市名称
11目的 IPdesip攻击目的 IP 地址
12目的 IP 区域desipLoc攻击目的物理位置
格式: 国家代码|国家名称 区域名称 城市名称
13文件 MD5fileMd5文件 MD5 签名
14文件名fileName原始文件名
15关联数据 IDrelateId关联数据存储 ID
16流量数据 IDdata_id流量数据存储 ID
17日志时间time日志发生时间

1.3 示例
  1. {
  2.         "cfdc": "60",
  3.         "count": "1",
  4.         "desc": "用户登录(User: admin; Pwd: 123456)",
  5.         "destId": "XHLcmwN2NzNkXWpjULwrjA",
  6.         "destIp": "192.168.0.160",
  7.         "destIpLoc": "cn|本地",
  8.         "etime": "2021-06-02 12:51:01",
  9.         "eventId": "FXuBq4uSQ2mPPDD4cygweg",
  10.         "label": "默认规则",
  11.         "level": "3",
  12.         "name": "FTP诱捕到Auth事件",
  13.         "ruleId": "xUAUeMFMo3MG6Njyo6eGgH",
  14.         "source": "DCP.windows",
  15.         "srcId": "XHLcmwN2NzNkXWpjULwrjA",
  16.         "srcIp": "66.249.65.155",
  17.         "srcIpLoc": "US|美国 俄克拉荷马州 普赖尔",
  18.         "stage": "4",
  19.         "status": "0",
  20.         "stime": "2021-06-07 12:51:01",
  21.         "type": "FTP服务",
  22.         "logData": "{"action":"Auth","desc":"用户登录(User: admin; Pwd: 123456)","destId":"XHLcmwN2NzNkXWpjULwrjA","destIp":"192.168.0.160","destIpLoc":"cn|本地","destPort":"21","evtlogId":"ycbTWL7TWhaGMv7T2DWzdi","level":"4","module":"FTP","result":"0","serialId":"pfdNh5vU98LpiFwvwMYJLf","srcId":"XHLcmwN2NzNkXWpjULwrjA","srcIp":"66.249.65.155","srcIpLoc":"US|美国 俄克拉荷马州 普赖尔","srcPort":"25648","time":"2021-06-07 12:51:01","type":"FTP服务","user":"admin"}"
  23. }
复制代码
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver|小黑屋|DecoyMini 技术交流社区 (吉沃科技) ( 京ICP备2021005070号 )

GMT+8, 2024-12-22 21:14 , Processed in 0.059657 second(s), 22 queries .

Powered by Discuz! X3.4

Copyright © 2001-2023, Tencent Cloud.

快速回复 返回顶部 返回列表